Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.DownLoader.192.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) ads.w####.cn:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) mo####.b####.com:80
- TCP(HTTP/1.1) app.w####.cn:80
- TCP(TLS/1.0) 1####.217.17.46:443
- TCP(TLS/1.0) mobads-####.b####.com:443
Запросы DNS:
- a####.u####.com
- ads.w####.cn
- app.w####.cn
- c.y####.club
- d.y####.club
- mo####.b####.com
- mobads-####.b####.com
- oc.u####.com
Запросы HTTP GET:
- ads.w####.cn/action/pop_ad/ad?app_id=####&udid=####&imsi=####&net=####&b...
- app.w####.cn/action/connect/active?app_id=####&udid=####&imsi=####&net=#...
- mo####.b####.com/ads/ads.appcache
- mo####.b####.com/ads/css/min/main.css
- mo####.b####.com/ads/index.htm
- mo####.b####.com/ads/js/ads.trunk.js
- mo####.b####.com/ads/js/c.js
- mo####.b####.com/ads/pa/__pasys.apk
- mo####.b####.com/ads/pa/__pasys_remote_banner.jar
- mo####.b####.com/ads/pa/__pasys_remote_banner.php?v=####&tp=####&os=####...
- mo####.b####.com/cpro/ui/mads.php?code2=####&b1539322664081=####
Запросы HTTP POST:
- a####.u####.com/app_logs
- app.w####.cn/action/user_info
- oc.u####.com/check_config_update
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/AppSettings.xml
- /data/data/####/ApplicationCache.db-journal
- /data/data/####/CacheTime.dat
- /data/data/####/Downloado
- /data/data/####/Downloado-journal
- /data/data/####/Logo
- /data/data/####/Logo-journal
- /data/data/####/ShowAdFlag.xml
- /data/data/####/__pasys.apk.tmp.tm
- /data/data/####/__pasys_remote_banner.jar.tm
- /data/data/####/__pasys_remote_banner.tmp.jar
- /data/data/####/configo.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/http_mobads.baidu.com_0.localstorage-journal
- /data/data/####/http_mobads.baidu.com_0.localstorage-journal (deleted)
- /data/data/####/index
- /data/data/####/libexec.so
- /data/data/####/libexecmain.so
- /data/data/####/mobclick_agent_header_lqs.kaisi.ppl.xml
- /data/data/####/mobclick_agent_online_setting_lqs.kaisi.ppl.xml
- /data/data/####/mobclick_agent_state_lqs.kaisi.ppl.xml
- /data/data/####/ppl.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/AppPackage.dat
- /data/media/####/CacheTime.dat
- /data/media/####/UnPackage.dat
- /data/media/####/android
- /data/media/####/com.ddhs.ffnv.dex
- /data/media/####/id
- /data/media/####/logo.png
Другие:
Запускает следующие shell-скрипты:
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- libexec
- libexecmain
Использует следующие алгоритмы для шифрования данных:
- DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CFB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
